Im exklusiven Interview mit dem itsecurity-xpert.com Magazin auf der it-sa 2017 erklärt Günter Junk, der CEO der Virtual Solution AG, was mobiles Arbeiten für ihn bedeutet und wie mittelständische Unternehmen die Hürden zu einem sicheren mobilen Arbeitsplatz meistern.
Herr Junk, der Mobile Workplace ist eine neue Art, orts- und zeitungebunden zu arbeiten. Doch viele Unternehmen kennen diese Arbeitsform noch nicht. Was würden Sie einem Unternehmen raten, das mit seiner Belegschaft erst ins Mobile Arbeiten starten möchte?
Ich denke, man muss sich vor allem mit den Kunden- und Mitarbeiterbedürfnissen auseinandersetzen. Als vordringlichstes Element steht für mich hier die Nutzerakzeptanz. Dabei wird man sehr schnell feststellen, dass es unterschiedliche Begehrlichkeiten im Unternehmen gibt: Es gibt Leute wie mich, die viel im Außendienst oder Vertrieb unterwegs sind. Ich nutze mobiles Arbeiten sehr intensiv. Und es gibt andere, die ihren Alltag im Büro erleben, aber trotzdem ihr Arbeitsumfeld gestalten wollen – gelegentlich von zuhause arbeiten, schon morgens im Zug beginnen oder sich auf einen Termin vorbereiten möchten. Doch nicht jeder benötigt deswegen ein Geschäftshandy. Daher muss ich als Unternehmen eine sichere Lösung präsentieren, die keine Einarbeitungszeit verlangt.
Häufig gibt es bei Mitarbeitern genau diese bipolare Wahrnehmung: Zum einen Sicherheit, das notwendige Übel, und zum anderen Praktikabilität im Arbeitsalltag. Halten Sie beides also für eine Scheindifferenz?
Nein, diese Pole bestehen sehr wohl. Doch sie müssten in meinen Augen nicht bestehen! Viele Lösungen zum mobilen Arbeiten bilden jedoch genau das ab: Entweder, weil sie tatsächlich nur einen der beiden Aspekte einlösen oder diese nur im Kompromiss verbinden. Die Kunst ist, Sicherheit und Usability in einem Ansatz in Einklang zu bringen.
Nächstes Jahr tritt die vielbeschworene DSGVO in Kraft. Wie rüsten sich Unternehmen mit einer umfangreichen mobilen Infrastruktur dafür? Welche Maßnahmen sollten sie ergreifen?
Ich glaube, als Verbraucher sollte man in jedem Fall dankbar sein, dass personenbezogene Daten jetzt per Dekret geschützt werden müssen. Dieses spezielle Bewusstsein für die DSGVO hilft viel – egal, ob verhaltensspezielle Maßregelungen noch dazukommen werden oder nicht.
Und viele Unternehmen sind wahrscheinlich gar nicht so schlecht für die DSGVO aufgestellt, denn sie fordert neben technischen Lösungen zum Datenschutz hauptsächlich die Dokumentation und Einhaltung von bestimmten Prozessen. Und das wird bereits für stationäre Infrastruktur praktiziert: Wie Serverinfrastrukturen und Firewalls konfiguriert werden, ist bereits ausführlich beschrieben worden. Im Bereich Mobilität fehlt das noch. Doch die DSGVO besteht nicht nur aus der Implementierung von Technologie, wie oft angenommen wird.
Das Aufspielen eines Container-Systems beispielsweise trennt Geschäftliches und Privates datenschutzkonform. Bleibe ich innerhalb des Containers, kann ich mich nicht versehentlich fehlverhalten. Natürlich könnte man geschäftliche Inhalte immer noch an einen privaten E-Mail-Account verschicken. Doch dieses Bewusstsein muss man wecken: Bitte keine Inhalte aus dem gesicherten Umfeld entfernen. Dann sollten Unternehmen zu einem hohen Maß geschützt sein.
Sie erwähnen es bereits: Das Bewusstsein der Nutzer ist ausschlaggebend zur Einhaltung der DSGVO. Was gilt es dabei für Unternehmen zu beachten? Welche Ratschläge für mehr Sicherheitsbewusstsein können Sie geben?
Das Thema Ratschläge fängt immer beim Vorleben an. Denn man sieht es ja oft, dass Unternehmensrichtlinien erstellt werden, an die sich dann vor allem die Unternehmensleitung nicht hält. Vorleben halte ich daher für wichtig und zu betonen, dass Unternehmensdaten schützenswert sind. Das hat per se nichts mit Spionage zu tun, sondern mit Vertraulichkeit: Was im Unternehmen behandelt wird, bleibt dort. Dass man mit Freunden über die Arbeit redet, ist normal, doch sensitive Informationen gibt man dabei nicht weiter. Genauso sollte man es bei der eigenen elektronischen Kommunikation halten. Ich achte auf mein Verhalten, denn so wie ich meine Person und Privatsphäre geschützt wissen möchte, so möchte ich im Unternehmen auch, dass Mitarbeiter mit Daten umgehen.
Es gibt wohl keinen singulären Tipp, keine drei Punkte und dann ist Bewusstsein geschaffen. Vorleben, betonen, wiederholen – und manchmal der freundliche Hinweis, über das eigene Handeln nachzudenken. Das sind die Maßnahmen, die man präventiv ergreifen kann.
Zuletzt die Gretchenfrage: Wie lösen Sie in Ihrem Unternehmen das mobile Arbeiten?
Wir räumen gerade auf und packen uns selbst bei der Nase – denn alles, was ich erzählt habe, passiert bei uns auch: Daher hilft die DSGVO, uns wachzurütteln und uns stringenter aufzustellen. Auch wir haben Mitarbeiter ohne securePIM [Anm. Red.: Die Software von Virtual Solutions] auf ihrem Smartphone und diese greifen mit ihrem privaten Telefon auf unsere Strukturen zu – wie wir jetzt feststellen mussten. Wir sind auch noch nicht das schillernde Vorbild, wir haben uns bisher wie jede andere Firma verhalten und räumen nun auf.
Im Einklang mit der DSGVO formulieren wir so gerade unsere BYOD-Policy, sodass unsere Mitarbeiter geschult werden und Bewusstsein geprägt wird. Wir zwingen jedoch niemanden, unser Produkt aufzuspielen. Wer es nicht tut, kann eben nur noch mit einem VPN-konfigurierten Firmenlaptop von außen zugreifen.
Vielen Dank für das Interview, Herr Junk.
Günter Junk ist CEO bei Virtual Solution, das mit SecurePIM eine Container-Lösung für sicheres mobiles Arbeiten anbietet. In verschiedenen Stationen bei namhaften Technik- und IT-Sicherheitsherstellern wie Sophos und Cisco erwarb Junk sich ein umfangreiches Wissen zu Sicherheitslösungen im Unternehmenskontext.